Pusty proces przy uruchamianiu

[DzikuXXX]

Chcialem pogrzebac w procesach uruchamianych przy starcie Windy i znalazlem takie cuś jak z załączniku. Kto to jest i czy powinien tam byc? Na wszelki wypadek go wylaczylem.

[politan]

Albo jest jakimś robaczkiem, albo po prostu błędem systemu tudzież programu, który go dodał. Wyłącz ten proces i przeskanuj kompa programem Malwarbytes Anti-Malware.

[DzikuXXX]

Masz na mysli wylaczenie w "Narzedziu konfiguracji systemu", tak? Bo w Menadżerze Zadan nie widzialem tego procesu przed wylaczeniem ani teraz.

Dobra jak bede tam na kompie to zrobie skana, wrzucac loga abo cos?

[politan]

Wyłączyć go z autostartu (ale chyba już to zrobiłeś ). Tak możesz dać loga.

[DzikuXXX]

Przeskanowalem i to log

Malwarebytes' Anti-Malware 1.44

Wersja bazy definicji: 3743

Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 6.0.2900.5512

2010-06-19 16:32:52

mbam-log-2010-06-19 (16-32-52).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|)

Przeskanowane obiekty: 226913

Upłynęło: 1 hour(s), 4 minute(s), 28 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 1

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

C:\COMODO\COMODO Internet Security\Quarantine\UrBi.dll (Malware.Packer) -> Delete on reboot.

Troche sie pośpieszylem i dalem usun zanim popatrzylem co to - da sie to jakos anulowac? Czy mam tego nie anulować bo cos tu smierdzi?

[mtx25]

Czytaj dokładnie .

Ten plik był w folderze "kwarantanna", więc nie musisz się bać .

[DzikuXXX]

Ale to nic COMODO nie namiesza?

[Sevard]

Nie, tyle tylko, że nie będziesz mógł przywrócić tego pliku z kwarantanny Comodo, dopóki nie przywrócisz go z kwarantanny Malwarebytes'.

[DzikuXXX]

OK. Czyli skoro Malwarebytes nic nie znalazł to nie musze sie przejmowac tym pustym procesem?

[Sevard]

Raczej nie. Możesz dać jeszcze logi z OTL (pozaznaczaj opcje: Scan All Users, LOP Check, Purity Check, zaznacz też opcję Use Safelist w Extra registry. Wklej oba wygenerowane przez OTL logi), ale nie sądzę, by coś siedziało w systemie.

[Sevard]

Zamieść te logi w całości na wklej.org, czy czymś podobnym, bo ten log powyżej nie jest kompletny.

[DzikuXXX]

logi na wklejto

logi na wklejto

pw : logi

[Sevard]

Jakieś pozostałości po starej infekcji, poza tym czysto. Uruchom OTL, w Custom Scans/Fixes w OTL wklej to co poniżej:

:Processes

killallprocesses


:Files

C:\autorun.inf

D:\autorun.inf

E:\autorun.inf

F:\autorun.inf


:Commands

[emptytemp]

i kliknij run fix.

[DzikuXXX]

All processes killed

========== PROCESSES ==========

========== FILES ==========

C:\autorun.inf folder moved successfully.

Folder move failed. D:\autorun.inf scheduled to be moved on reboot.

Folder move failed. E:\autorun.inf scheduled to be moved on reboot.

Folder move failed. F:\autorun.inf scheduled to be moved on reboot.

========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator

->Temp folder emptied: 778137 bytes

->Temporary Internet Files folder emptied: 94867 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 57394288 bytes

->Flash cache emptied: 753 bytes

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 1610800 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

Total Files Cleaned = 57,00 mb

OTL by OldTimer - Version 3.2.1.1 log created on 06212010_211202

Files\Folders moved on Reboot...

Folder move failed. D:\autorun.inf scheduled to be moved on reboot.

Folder move failed. E:\autorun.inf scheduled to be moved on reboot.

Folder move failed. F:\autorun.inf scheduled to be moved on reboot.

Registry entries deleted on Reboot...

a te autorun pojawiaja mi sie przyokazji kazdego wlozenia pendrive/karty pamieci. Probowalem flashdisinfectora i dalej nic

[Sevard]

Dziwne, a na tym pendrivie/karcie pamięci nie ma żadnych dziwnych plików?

[DzikuXXX]

Pendrive i wszyskie karty formatowalem i dezynfekowalem - i dalej to samo. Moze to wina kompa w pracy ojca? Czasem pozycza pamieci a nie wiem co tam siedzi. Potem nie mam nic nagrane ale najczesciej jest ten alert. I moze przesadzilem ze zawsze... po dezynfekcji lepiej jest, ale i tak sie zdarza.

[Sevard]

Może jakiś proces w systemie coś takiego robi w celu walki z zagrożeniami. Gdy kolejny raz pojawi się taki plik, to prześlij mi jego zawartość.

[DzikuXXX]

Ja nawet nie mam zielonego pojecia kto robi taki numer... po prostu wkladam pena - pelny/pusty i comodo wyskakuje z alertem o tym autorunie... a nie pisze gdzie.

Jest tylko I:\ i nic dalej.